Board logo

标题: 病毒气象(2003年8月18日至8月24日) [打印本页]

作者: 大虫    时间: 2003-8-18 12:35

本周重点关注病毒:
  冲击波 Worm.msBlast ★★★★ 传播方式:RPC漏洞攻击
  该蠕虫病毒通过利用微软NT系列操作系统平台普遍存在的RPC漏洞进行攻击,将自身复制到远端系统,从而达到传播的目的。由于在某些平台上如(WindowsXP)蠕虫的设计缺陷导致会出现RPC服务崩溃,Windows自动倒计数1分钟重新启动。以下是它的一些技术特点:
  1、创建一个名为"BILLY"的互斥体,如果该进程已经存在,则退出。
  2、添加如下注册表键值:"windows auto update"="msblast.exe"在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下,以使蠕虫可以开机自动运行。
  3、计算IP地址:
   a. 第三段是小于20的随机数,第四段从0—255 (40%的几率)
   b. 随机产生前三段,第四段为0。 (60%的几率)
  4、发送数据到被攻击的计算机的TCP 135端口(DCOM RPC漏洞),在被攻击计算机创建一个隐藏的CMD.exe Shell, 使其监听 TCP 4444端口,发送的数据不对可能会导致受攻击的计算机崩溃。
  5、监听 UDP 69端口,当有服务请求,就发送Msblast.exe文件。
  6、发送命令到远端计算机(被攻击计算机), 以使其连接被感染计算机(本地计算机)下载并运行Msblast.exe。
  7、如果当前月份大于8月,或当前日期大于15号,对"Windowsupdate.com"实施DoS攻击。
  8、该蠕虫包含有如下不会被显示的字符串:
   I just want to say LOVE YOU SAN!!
   billy gates why do you make this possible ? Stop making money and fix your software!!
  恶流言 VBS.RPCWorm ★★★★ 传播方式:利用RPC漏洞攻击
   一个同样利用RPC漏洞进行攻击传播的蠕虫病毒。病毒的主体传播部分是一份VBS代码,通常名称为zerg.vbe,当病毒启动运行后,将执行vbs代码将所附带的自解压包解开,释放十多个相关文件。并且此蠕虫病毒困绑了一个后门程序,在受感染的机器上留下后门。尤其需要关注的是:“恶流言”主体程序采用较为简单的VBS脚本编写,利用第三方的黑客工具对网络上存在RPC漏洞的系统发动攻击,这种简单的结构使得病毒的制作更加简易,给计算机安全带来了巨大的挑战。
  传奇幽灵 (黑客程序) ★★ 传播方式:欺骗运行
   一个盗取传奇账号的木马程序,会盗取传奇区域、用户名、密码、服务器及修改密码、注册新用户里的所有信息。并且体积很小,大小仅仅27kb,有可能被人恶意用做网页木马使用,达到访问网站即中木马的卑劣用意。
  专家提醒:
   1、最近微软的RPC安全漏洞引起了轩然大波,为了避免这些漏洞带来的危害,再次提醒安装微软补丁MS03-026,RPC漏洞补丁,并请经常使用微软的自动更新(WindowsUpdate);
   2、猜密码是病毒传播的一种重要途径,请广大网络用户使用更为强壮的管理员密码;
   3、请不要到不安全的网址下载各类所谓的游戏外挂、工具,以免被安装木马泄露您的机密信息。
  
作者: 十指滑键    时间: 2003-8-18 14:53

谢谢大虫的提醒哦
作者: 下不了雨    时间: 2003-8-20 02:08

多谢哦~
作者: 02123023    时间: 2003-8-21 12:32

谢谢!




欢迎光临 摆渡论坛 (http://test.wakin.org/forum/) wakinchau.net